USIM 정보 해킹 사건 관련하여

최근 USIM 정보 해킹이 발생하여 사회적으로 이슈가 되고 있습니다.

사고의 영향이 어디까지 발생할지 알 수 없지만, 대국민 서비스인 만큼 피해가 발생할 수 있는 사례를 미리 예방하기 위해 중요한 정보를 정리해보았습니다.

 

Q. USIM 정보만 해커가 확보했을 경우, 폰 복제가 가능할까요?

A. 아닙니다. IMEI 정보와 매칭되지 않을 경우 복제폰은 만들 수 없습니다.

 

Q. 유심보호 서비스에만 가입하면 안전할까요?

A. 유심보호 서비스는 일종의 이상현상을 탐지하는 서비스입니다. 서울에서 잡히던 신호가 갑자기 부산에서 잡힌다거나 안드로이드 폰에서 잡히던 신호가 애플 폰에서 잡힌다거나 하는 경우 이상현상으로 탐지하고 통신을 차단하는 서비스입니다. 일반적으로 해커는 복제폰 사용자의 사용 위치나 기기정보 등을 알 수 없기 때문에 효과적으로 악성 활동을 차단할 수 있습니다.

 

Q. 통신사의 발표와 달리 IMEI가 유출되었다면 어떻게 될까요?

A. USIM 정보와 IMEI가 유출되었다면, 유심보호서비스에 가입하지 않았다고 전제할 때 해커가 이용자의 휴대폰에 대한 소유권을 확보할 수 있습니다. 과거 USIM 스와핑 사건으로 인해 기존 기기에서 재부팅이 되지 않으면 다른 기기에서 통신망을 사용할 수 없게 되어있지만, 업데이트나 기타 사유로 기존 기기를 재부팅하게 된다면 해커가 복제폰을 이용하여 정상 이용자로 위장할 수 있습니다.

 

Q. 해커가 복제폰을 이용하게 된다면, 어떤 피해가 발생할 수 있나요?

A. 제한적이지만 소유자의 권한을 획득할 가능성이 있습니다. USIM에 저장된 정보는 ICCID(USIM 칩 고유 일련번호), IMSI(국제 모바일 가입자 식별 번호), MSISDN(가입자 전화번호) 등 입니다. 사전에 국내에서 유출된 개인정보(이름, 생년월일, 성별, 휴대폰번호)와 매칭이 되면  SMS 인증을 이용하여 클라우드와 SNS 등 소유자 계정에 로그인 할 수 있는 가능성이 있습니다.

 

[휴대폰을 이용하여 저장되거나 동기화 되는 데이터가 존재하는 클라우드 예시]

 삼성 클라우드 : 사진, 메모, 연락처, 캘린더

 네이버클라우드 : 파일, 사진, 메모, 캘린더

 구글 : 사진(구글 포토), 메모, 캘린더, 파일(구글 드라이브)

 

Q.은행 계좌나 코인이 털릴 수도 있나요?

A. 소유자 계정에서 파생되는 데이터들에 의해 계좌나 코인이 털릴 수 있습니다. 많은 사람들이 일상생활에 활용하기 위해 주민등록등본, 가족관계증명서, 주민등록증과 같은 개인정보를 사진으로 찍거나 파일로 보유하곤 합니다. 메일로 서류를 제출할 때 파일로 첨부되어 보내지고 이 파일들이 메일함에 남기도 합니다. 메모에는 아이디, 패스워드, 계좌번호, 계좌 비밀번호를 저장하기도 합니다. 이렇게 민감한 정보들이 이용자의 휴대폰에는 암호화되지 않은 상태로 저장되곤 합니다. 해커는 이 정보들을 모두 종합하여 직접적으로 로그인 후 출금을 진행하거나 뱅킹앱의 소유권을 가져올 수 있습니다.

단, 각 은행 별로 신분 확인 절차가 까다롭기 때문에 제한적입니다. 특히, 이번 사건으로 인해 해당 통신사의 고객은 비대면계좌개설 혹은 전자금융거래 시 주민등록증 사진과 안면을 비교하는 안면인증을 추가로 적용하고 있습니다.

 

Q. 은행 계좌가 털릴 수 있는 상황을 조금 더 설명해 주실 수 있을까요?

A.  은행 앱에서는 재 로그인 시 타 금융기관 계좌 확인 과정이 있습니다. 주민등록증 사진을 이용하여 비교적 비대면 계좌 개설이 쉬운 은행(제2 금융권 등)을 통해 비대면 계좌를 개설하여 인증하여 해당 인증 절차를 무력화 시킬 수 있습니다. 이후 대출 약정을 통해 금융 피해가 발생할 수 있습니다. 다만, 제2금융권에서도 인증절차가 강화되어 있으며, 제2금융권에서 현시점에도 가능한 방법인지는 확인이 필요합니다.

 

Q. 제가 지금 할 수 있는 대응 방법을 알려주실 수 있을까요?

A. 첫째, USIM 보호 서비스에 가입해야 합니다. 통신사의 이상 행위 탐지 시스템에서 유심 복제를 탐지 하여 대응할 수 있도록 합니다. 둘째, USIM 교체 서비스를 예약합니다. 셋째, 사진, 메모, 메일 등 휴대폰에 저장되어있거나 온라인 상에 저장되어 있는 인증정보(아이디, 패스워드, 결제 비밀번호 등)와 개인정보(주민등록번호, 가족관계증명서, 주민등록등본, 주민등록증 등)을 암호화하거나 삭제합니다. 넷째, 비대면 계좌 개설 안심차단 서비스를 신청합니다. 다섯째, USIM을 교체할 때 까지 휴대폰을 재부팅하지 않습니다.

 

Q. IMEI 정보가 유출되지 않았는데 너무 과한 대처 아닌가요?

A. USIM 보호 서비스와 USIM 교체는 필수입니다. 사진, 메모, 메일 등에 개인정보를 암호화하여 보관하는 것은 보안을 생활하 하시기 위하여 권고드립니다. 비대면 계좌 개설 안심차단 서비스와 휴대폰 재부팅 금지는 상황에 따라 유연하게 적용하시기 바랍니다. 다만, 휴대폰 재부팅 후에 문자나 통화가 잘 되는지 확인해보시고 안 될 경우 즉시 통신사와 한국인터넷진흥원에 신고하시기 바랍니다.